Дан Пражак Въпреки че iOS 11 е способна система в много отношения, нейната стабилност и сигурност не са толкова образцови. Докато Apple все още работи по коригирането на най-новия бъг, който позволява на Siri да чете скрити съобщения от заключения екран, през уикенда беше разкрит друг пропуск в сигурността, включващ родното приложение Камера и способността му да сканира злонамерени QR кодове.
Може да бъде те интересуват
Сървър Infosec стигна до констатацията, че приложението Camera, или по-скоро неговата функция за сканиране на QR кодове, при определени обстоятелства не може да разпознае действителния уебсайт, към който ще бъде пренасочен потребителят. По този начин нападателят може сравнително лесно да отведе потребителя до определен уебсайт, докато приложението информира за пренасочването към напълно различни, безопасни страници.
По този начин, докато потребителите ще видят, че ще бъдат пренасочени към facebook.com, например, в действителност, след щракване върху подканата, уебсайтът https://jablickar.cz/ ще бъде зареден. Скриването на истинския адрес в QR код и заблудата на читателя в iOS 11 не е трудно за нападателя. Просто добавете няколко знака към адреса, когато създавате QR кода. Оригиналният споменат url изглежда така след добавяне на необходимите знаци: https://xxx\@facebook.com:443@jablickar.cz/.
Фото галерия
Въпреки че може да изглежда, че грешката е открита съвсем наскоро и Apple скоро ще я поправи, това не е така. Всъщност Infosec заяви в публикацията си, че е бил представен на вниманието на екипа по сигурността на Apple още на 23 декември 2017 г. и за съжаление не е коригиран до днес, т.е. след повече от три месеца. Така че да се надяваме, че поне в отговор на медийното отразяване на грешката, Apple ще я поправи в предстояща актуализация на системата.
